wmic

項目	接続元	接続先
通信プロトコル	135/tcp ハイポート/tcp	135/tcp ハイポート/tcp
権限	Admin	Admin
ドメインへの所属	要	要
サービス	-	-
OS	Windows	Windows
備考	-	-

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\WINDOWS\system32\wbem\wmiprvse.exe プロセス情報 > 必須ラベル: Mandatory Label\System Mandtory Level プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding
2	Microsoft-Windows-WMI-Activity/Operational	5857	なし	[プロバイダー名] プロバイダーは結果コード [結果コード] で開始されました。ホストプロセス = [ホストプロセス]; プロセス ID = [プロセス ID]; プロバイダーパス = [プロバイダーパス] プロバイダー名: CIMWin32 結果コード: 0x0 ホストプロセス: wmiprvse.exe プロセス ID: [プロセスID] プロバイダーパス: %systemroot%\system32\wbem\cimwin32.dll

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\wbem\WMIC.exe プロセス情報 > トークン昇格の種類: TokenElevationTypeFull(2) プロセス情報 > 必須ラベル: High Mandtory Level プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: wmic /NODE:"[接続先ホスト]" [実行コマンド]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\wbem\WMIC.exe CommandLine: wmic /NODE:"[接続先ホスト]" [実行コマンド] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] IntegrityLevel: High Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentUser: [親プロセスユーザー名]
3	Microsoft-Windows-Sysmon/Operational	7	Image loaded	Image loaded. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\wbem\WMIC.exe ImageLoaded: [ロードしたファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [ロードしたファイルのメタデータ] User: [実行ユーザー名]
4	Security	4674	Sensitive Privilege Use	特権のあるオブジェクトで操作が試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: Mutant オブジェクト > オブジェクト名: \Sesions\1\BaseNamedObjects\SM0:5020:304:WilStaging_02 他要求された操作 > 特権: SeTakeOwnershipPrivilege
5	Security	4674	Sensitive Privilege Use	特権のあるオブジェクトで操作が試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: Key オブジェクト > オブジェクト名: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters 要求された操作 > 特権: SeTakeOwnershipPrivilege
6	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\wbem\WMIC.exe TargetObject: HKLM\SOFTWARE\Microsoft\Wbem\CIMOM User: [実行ユーザー名]
7	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\wbem\WMIC.exe TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters User: [実行ユーザー名]
8	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\wbem\wmic.exe ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
9	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
10	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\System32\Wbem\WMIC.exe TargetObject: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Notifications\Data\[文字列] Details: Binary Data User: [ドメイン名]\[ユーザー名]
11	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [実行ユーザーSID] サブジェクト > アカウント名: [実行ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\wbem\WMIC.exe
12	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\wbem\WMIC.exe User: [ドメイン名]\[ユーザー名]
13	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\WMIC.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
14	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\WMIC.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
15	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
16	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\WMIC.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	WMIC.EXE-[ハッシュ値].pf	WMIC.EXE	C:\WINDOWS\SYSTEM32\WBEM\WMIC.EXE

MFT

#	パス	ヘッダフラグ	備考
1	[ドライブ名]:\Windows\Prefetch\WMIC.EXE-[ハッシュ値].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	WMIC.EXE-[ハッシュ値].pf	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 135 ネットワーク情報 > プロトコル: 6 (TCP)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\Windows\System32\svchost.exe Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 135
3	Security	4624	Logon	アカウントが正常にログオンしました。新しいログオン > セキュリティ ID: [ログオンユーザーSID] 新しいログオン > アカウント名: [ログオンユーザー名] 新しいログオン > アカウント名: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] プロセス情報 > プロセス名: [実行ファイルのパス] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号]
4	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: 0.0.0.0 ネットワーク情報 > ソースポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
5	Security	5154	Filtering Platform Connection	Windows フィルターリングプラットフォームで、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe ネットワーク情報 > 送信元アドレス: 0.0.0.0 ネットワーク情報 > ソースポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP) フィルター情報 > レイヤー名: リッスン
6	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
7	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\Windows\System32\svchost.exe Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: [接続先ポート番号]
8	Security	4688	Process Creation	新しいプロセスが作成されました。プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\WINDOWS\system32\wbem\wmiprvse.exe プロセス情報 > 必須ラベル: Mandatory Label\System Mandtory Level プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding
9	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\wbem\wmiprvse.exe CommandLine: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding CurrentDirectory: [作業ディレクトリ] IntegrityLevel: System ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\svchost.exe ParentCommandLine: C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p
10	Microsoft-Windows-WMI-Activity/Operational	5857	なし	[プロバイダー名] プロバイダーは結果コード [結果コード] で開始されました。ホストプロセス = [ホストプロセス]; プロセス ID = [プロセス ID]; プロバイダーパス = [プロバイダーパス] プロバイダー名: CIMWin32 結果コード: 0x0 ホストプロセス: wmiprvse.exe プロセス ID: [プロセスID] プロバイダーパス: %systemroot%\system32\wbem\cimwin32.dll
11	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\wbem\wmiprvse.exe TargetObject: HKLM\SOFTWARE\Microsoft\Wbem
12	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\wbem\wmiprvse.exe TargetObject: HKLM\SOFTWARE\Microsoft\Wbem\Tracing\Providers\CIMWin32 @ root/CIMV2\[タイムスタンプ]
13	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\WMIPRVSE.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
14	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\WMIPRVSE.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
15	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe

レジストリエントリ

#	パス	値	備考
1	HKLM\SOFTWARE\Microsoft\Wbem\Tracing\Providers\CIMWin32 @ root/CIMV2\[タイムスタンプ]	"ProcessID: [プロセスID]"

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	WMIPRVSE-[ハッシュ値].pf	WMIPRVSE.EXE	\VOLUME{[GUID]}\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

MFT

#	パス	ヘッダフラグ	備考
1	[ドライブ名]:\Windows\Prefetch\WMIPRVSE.EXE-[ハッシュ値].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	WMIPRVSE.EXE-[ハッシュ値].pf	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed

#	オペレーション	接続元ホスト	接続元ポート番号	接続先ホスト	接続先ポート	プロトコル	アプリケーション
1	Bind: call_id: [番号], Fragment: Single, 2 context items: IOXIDResolver V0.0 (32bit NDR), IOXIDResolver V0.0 (6cb71c2c-9812-4540-0300-000000000000)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
2	Bind_ack: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 2 results: Acceptance, Negotiate ACK	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
3	ServerAlive2 request IOXIDResolver V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
4	ServerAlive2 response	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
5	TGS-REQ	[接続元IPアドレス]	[接続元ポート番号]	[ドメインコントローラーIPアドレス]	88	tcp	KRB5
6	TGS-REP	[ドメインコントローラーIPアドレス]	88	[接続元IPアドレス]	[接続元ポート番号]	tcp	KRB5
7	Bind: call_id: [番号], Fragment: Single, 1 context items: ISystemActivator V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
8	Bind_ack: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
9	Alter_context: call_id: [番号], Fragment: Single, 1 context items: ISystemActivator V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
10	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
11	RemoteCreateInstance request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
12	RemoteCreateInstance response	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
13	TGS-REQ	[接続元IPアドレス]	[接続元ポート番号]	[ドメインコントローラーIPアドレス]	88	tcp	KRB5
14	TGS-REP	[ドメインコントローラーIPアドレス]	88	[接続元IPアドレス]	[接続元ポート番号]	tcp	KRB5
15	Bind: call_id: [番号], Fragment: Single, 3 context items: IRemUnknown2 V0.0 (32bit NDR), IRemUnknown2 V0.0 (64bit NDR), IRemUnknown2 V0.0 (6cb71c2c-9812-4540-0300-000000000000)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
16	Bind_ack: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 3 results: Provider rejection, Acceptance, Negotiate ACK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
17	Alter_context: call_id: [番号], Fragment: Single, 1 context items: IRemUnknown2 V0.0 (64bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
18	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
19	RemQueryInterface request IID[1]=???[Long frame (4 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
20	RemQueryInterface response -> S_FALSE[Long frame (56 bytes)]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
21	RemQueryInterface request IID[1]=???[Long frame (4 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
22	RemQueryInterface response -> S_FALSE[Long frame (56 bytes)]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
23	Alter_context: call_id: [番号], Fragment: Single, 1 context items: IWbemLoginClientID V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
24	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
25	Request: call_id: [番号], Fragment: Single, opnum: 3, Ctx: 2 IWbemLoginClientID V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
26	Response: call_id: [番号], Fragment: Single, Ctx: 2 IWbemLoginClientID V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
27	Alter_context: call_id: [番号], Fragment: Single, 1 context items: IWbemLoginClientIDEx V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
28	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
29	Request: call_id: [番号], Fragment: Single, opnum: 3, Ctx: 3 IWbemLoginClientIDEx V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
30	Response: call_id: [番号], Fragment: Single, Ctx: 3 IWbemLoginClientIDEx V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
31	Alter_context: call_id: [番号], Fragment: Single, 1 context items: IWbemLevel1Login V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
32	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
33	Request: call_id: [番号], Fragment: Single, opnum: 3, Ctx: 4 IWbemLevel1Login V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
34	Response: call_id: [番号], Fragment: Single, Ctx: 4 IWbemLevel1Login V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
35	Request: call_id: [番号], Fragment: Single, opnum: 6, Ctx: 4 IWbemLevel1Login V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
36	Response: call_id: [番号], Fragment: Single, Ctx: 4 IWbemLevel1Login V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
37	RemRelease request Cnt=0[Long frame (80 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
38	RemRelease response -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
39	TGS-REQ	[接続元IPアドレス]	[接続元ポート番号]	[ドメインコントローラーIPアドレス]	88	tcp	KRB5
40	TGS-REP	[ドメインコントローラーIPアドレス]	88	[接続元IPアドレス]	[接続元ポート番号]	tcp	KRB5
41	Alter_context: call_id: [番号], Fragment: Single, 1 context items: IWbemServices V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
42	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
43	Alter_context: call_id: [番号], Fragment: Single, 1 context items: IWbemServices V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
44	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
45	Request: call_id: [番号], Fragment: Single, opnum: 20, Ctx: 5 IWbemServices V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
46	Response: call_id: [番号], Fragment: Single, Ctx: 5 IWbemServices V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
47	RemQueryInterface request IID[1]=???[Long frame (4 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
48	RemQueryInterface response -> S_FALSE[Long frame (56 bytes)]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
49	Alter_context: call_id: [番号], Fragment: Single, 1 context items: IWbemFetchSmartEnum V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
50	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
51	Request: call_id: [番号], Fragment: Single, opnum: 3, Ctx: 6 IWbemFetchSmartEnum V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
52	Response: call_id: [番号], Fragment: Single, Ctx: 6 IWbemFetchSmartEnum V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
53	Alter_context: call_id: [番号], Fragment: Single, 1 context items: IWbemWCOSmartEnum V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
54	Alter_context_resp: call_id: [番号], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
55	Request: call_id: [番号], Fragment: Single, opnum: 3, Ctx: 7 IWbemWCOSmartEnum V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
56	Response: call_id: [番号], Fragment: Single, Ctx: 7 IWbemWCOSmartEnum V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
57	RemRelease request Cnt=0[Long frame (56 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
58	RemRelease response -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
59	RemRelease request Cnt=0[Long frame (32 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
60	RemRelease response -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
61	RemRelease request Cnt=0[Long frame (32 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
62	RemRelease response -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC

wmic

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

Prefetch

- 接続先

イベントログ

- 詳細情報

- 接続元

イベントログ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- パケット